麒麟OS怎么设置应用权限 麒麟OS隐私保护策略【详解】

麒麟OS中防范应用越权访问需五步：一、通过安全中心→应用保护可视化管控隐私目录权限；二、用ACL为特定用户进程设细粒度读写控制；三、启用KYSEC的fpro内核级强制拦截；四、配置SELinux安全上下文实现纵深隔离；五、用auditctl对隐私目录实施全量访问审计。

如果您在麒麟OS桌面系统中发现某款应用未经许可访问您的个人文件或设备功能，则可能是由于应用权限未按需授权或隐私保护策略未启用。以下是设置应用权限与配置隐私保护策略的具体操作步骤：

一、通过安全中心配置应用访问权限

银河麒麟桌面操作系统V10 SP1及后续版本内置「安全中心→应用保护」模块，用于统一管控第三方应用对用户隐私目录的访问行为。该机制默认拦截未授权应用对敏感路径的读写操作，支持可视化开关控制。

1、点击屏幕左下角「开始菜单」，选择「控制面板」→「安全中心」。

2、在安全中心左侧导航栏中，点击「应用保护」选项卡。

3、在右侧列表中查看已安装应用，系统将自动标注其当前对「桌面、图片、文档、视频、音乐」五个默认隐私目录的访问状态。

4、点击目标应用右侧的「权限设置」按钮，勾选或取消对应目录的复选框。

5、确认修改后，系统立即生效策略；若某应用尝试越权访问，将弹出“权限不足，请前往安全中心开启”提示，并记录审计事件。

二、手动配置用户级ACL实现细粒度控制

对于需精确限制特定应用进程访问权限的场景，可结合Linux ACL机制，在文件系统层面绑定应用运行用户与目标目录的访问能力。此方法适用于服务类应用或非图形界面程序，绕过GUI权限框架直接作用于内核VFS层。

1、确认应用以独立用户身份运行：执行ps -eo user,comm | grep 应用名，获取其所属用户名（如wps）。

2、为目标隐私目录启用ACL支持：执行sudo setfacl -m u:wps:rx /home/用户名/文档，授予读取与进入权限。

3、禁止写入操作：执行sudo setfacl -m u:wps:-w /home/用户名/文档，显式撤销写权限位。

4、验证配置结果：执行getfacl /home/用户名/文档，确认输出中包含user:wps:r-x条目且无w标志。

5、重启对应应用进程，使其以新权限上下文重新加载资源。

三、启用Kylin Security Center强制文件保护策略

KylinOS集成KYSEC安全子系统，其中fpro（file protect）模块可对指定路径实施不可绕过的内核级访问拦截。该策略优先级高于SELinux和普通ACL，适用于涉密环境下的强约束场景。

1、以root身份打开终端，执行sudo -i切换至超级用户。

2、检查当前fpro状态：运行getstatus，确认输出中file protect字段为on。

Pokecut

AI图片编辑处理工具，拥有超过50多种AI功能

下载

3、若处于关闭状态，启用策略：执行setstatus -f fpro on。

4、添加受保护路径：使用kysecctl --add-fpro-path /home/用户名/文档注册目录。

5、设置保护动作：执行kysecctl --set-fpro-action /home/用户名/文档 deny，使所有未白名单进程对该路径的open()、read()、write()系统调用均返回EACCES错误码。

四、配置SELinux安全上下文强化隔离

麒麟OS默认启用SELinux强制访问控制，通过为隐私目录分配data_t类型标签，并限制仅允许标记为application_t的应用域进行访问，可构建纵深防御体系。此方法需配合Kylin Audit Framework实现行为追溯。

1、确认SELinux运行状态：执行sestatus，确保current mode为enforcing。

2、重置隐私目录安全上下文：执行sudo semanage fcontext -a -t data_t "/home/用户名/文档(/.*)?"。

3、应用上下文变更：运行sudo restorecon -Rv /home/用户名/文档。

4、创建自定义策略模块：使用audit2allow -a -M myapp_data_access从审计日志生成允许规则。

5、加载策略模块：执行sudo semodule -i myapp_data_access.pp，仅授权指定应用域访问data_t资源。

五、使用auditctl建立隐私目录访问实时监控

为满足等保2.0三级“安全审计”要求，需对隐私目录的所有访问行为进行全量捕获与日志留存。auditd服务可监听inotify事件并生成结构化审计记录，供后续分析或对接SIEM平台。

1、添加监控规则：执行sudo auditctl -w /home/用户名/文档 -p rwxa -k user_privacy_access。

2、验证规则加载：运行sudo auditctl -l | grep user_privacy_access，确认输出包含对应watch项。

3、触发一次测试访问：在文档目录中新建文件，观察是否生成审计事件。

4、检索最近访问记录：执行sudo ausearch -k user_privacy_access -ts today | aureport -f -i。

5、设置日志轮转策略：编辑/etc/audit/rules.d/privacy.rules，追加相同-w规则以确保重启后持久生效。